연구(Insikt)
프레데터 스파이웨어 운영자가 모바일 디바이스를 타깃으로 다계층 인프라를 재구축합니다.
게시일: 2024년 3월 1일
작성자: Insikt Group®
레코디드 퓨처의 인식트 그룹은 용병 모바일 스파이웨어인 프레데터 운영자와 관련된 새로 발견된 인프라를 조사했습니다. 이 인프라는 앙골라, 아르메니아, 보츠와나, 이집트, 인도네시아, 카자흐스탄, 몽골, 오만, 필리핀, 사우디아라비아, 트리니다드토바고 등 최소 11개국에서 사용되고 있는 것으로 알려져 있습니다. 특히 보츠와나와 필리핀에서 프레데터 고객이 확인된 것은 이번이 처음입니다. 프레데터는 대테러 및 법 집행용으로 판매되고 있지만, 언론인, 정치인, 활동가를 표적으로 삼아 시민 사회를 공격하는 경우가 많으며, 최근 활동에서 구체적인 피해자나 표적은 확인되지 않았습니다.
다계층 프레데터 전송 네트워크 아키텍처(출처: Recorded Future)
위험 이해 및 보안 모범 사례 구현하기
프레데터와 같은 스파이웨어의 사용은 특히 심각한 범죄 및 대테러 상황 외에서 사용될 경우 개인정보, 합법성 및 물리적 안전에 심각한 위험을 초래할 수 있습니다. 경영진과 같은 유명 인사들은 이러한 스파이웨어를 배포하는 데 드는 높은 비용 때문에 더 큰 위험에 노출되어 있습니다. 유럽연합은 최근 회원국들 사이에서 용병 스파이웨어의 남용을 억제하기 위한 조치를 취하고 있습니다.
이러한 위험을 완화하기 위해 조직과 개인은 정기적인 휴대폰 업데이트, 디바이스 재부팅, 잠금 모드, 모바일 디바이스 관리 시스템, 개인 디바이스와 회사 디바이스 분리 등의 보안 모범 사례를 따르는 것이 좋습니다. 보안 인식 교육과 데이터 노출을 최소화하는 문화도 중요합니다. 장기적인 해결책으로는 동적 보안 정책 개발을 위한 위험 평가를 실시하는 것이 있습니다. 용병 스파이웨어 시장이 확대됨에 따라 그 위험은 시민 사회를 넘어 이러한 도구에 액세스할 수 있는 모든 이해관계자에게까지 확대되고 있습니다. 이 분야의 혁신은 더욱 은밀하고 포괄적인 스파이웨어 기능으로 이어질 가능성이 높습니다.
인식트 그룹의 연구에서 얻은 주요 결과에는 도메인 분석 및 네트워크 인텔리전스 데이터의 증거와 함께 새로운 다계층 프레데터 전송 인프라를 식별하는 것이 포함됩니다. 2023년 9월에 공개되었음에도 불구하고 프레데터의 운영자는 최소한의 변경 없이 운영을 계속하고 있습니다. 프레데터는 NSO 그룹의 페가수스와 함께 시간이 지나도 일관된 전술, 기술, 절차로 용병 스파이웨어를 제공하는 선두 업체로 남아 있습니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
타협 지표
| 도메인: 02s[.]co 06g[.]co 09a[.]co 2-gis[.]kz astanapark[.]com beroxe[.]com buildneeds[.]net bw-guardian[.]com cabinet-salyk[.]kz centent-management[.]net clazc[.]com coazoa[.]com copy-note[.]net 기업 비즈니스 솔루션[.]net dzhabarzan[.]com e-kgd[.]kz ehudaldaa[.]com escortbabesluxo[.]com 이벤트 뉴스[.]라이브 fast-notify[.]com fastnews[.]biz fr-monde[.]com gabzmus[.]com get-location[.]com get-location[.]net highclub[.]life 정보 순위[.]net jumia-egy[.]com kapital-news[.]com 케조라뉴스[.]넷 kollesa[.]com krisha-kz[.]com kroal[.]com ladiesclubhouse[.]com 루소포니아-문도[.]닷컴 magnum-kz[.]com 마스터샵[.]비즈 mb-ph[.]net mmegi[.]co msbsck[.]com mujmbosnoticias[.]com 문도노티시아[.]온라인 myfawry[.]net nospam[.]kz notify-service[.]biz nur-news[.]com olimpbets[.]kz ongsworld[.]com pelovkin[.]com people-beeline[.]com peticaonline[.]comv 플라스틱 장난감 세계[.]com plinkypong[.]com post-notify[.]정보 qazsporttv[.]com rcuples[.]com 로자베트로프[.]닷컴 schedulefestival[.]com shoxtek[.]com soccer-bw[.]com 스페이스세이버[.]정보 스포츠나우[.]뉴스 suarapapua[.]co sustanbuild[.]com thintank[.]co tickets-kz[.]com tobupmi[.]com tohna[.]net ulstur[.]co vendaswebs[.]com vestinfo[.]net vestinfo[.]org vestinfos[.]net vinho-online[.]com vlast-news[.]com walatparez[.]com 주말쿨[.]com yo-um7[.]com zakorn[.]com zikolo[.]net ztb-news[.]com IP 주소: 2.58.15[.]58 5.39.221[.]36 5.39.221[.]47 5.39.221[.]48 5.255.88[.]172 23.137.248[.]95 37.120.222[.]115 45.129.0[.]125 45.148.244[.]5 45.86.163[.]77 45.86.163[.]93 46.246.97[.]245 46.249.49[.]230 46.30.190[.]98 79.110.52[.]179 79.110.52[.]196 79.137.199[.]216 79.141.175[.]146 84.247.51[.]14 84.247.51[.]18 85.17.9[.]21 85.17.9[.]73 85.17.9[.]74 85.239.34[.]174 87.121.45[.]29 87.121.45[.]42 87.121.45[.]45 88.119.161[.]135 91.241.93[.]165 95.141.34[.]222 98.142.254[.]112 101.99.75[.]197 141.94.122[.]19 146.70.158[.]144 146.70.161[.]50 158.58.172[.]3 164.215.103[.]143 164.215.103[.]20 169.239.128[.]137 169.239.129[.]48 169.239.129[.]63 169.239.129[.]76 169.255.59[.]98 176.124.198[.]52 176.124.198[.]55 185.113.8[.]67 185.113.8[.]83 185.117.91[.]165 185.117.91[.]237 185.130.227[.]29 185.130.227[.]88 185.130.227[.]95 185.130.45[.]34 185.130.46[.]165 185.130.46[.]202 185.156.172[.]17 185.156.172[.]20 185.156.172[.]48 185.158.248[.]131 185.158.248[.]85 185.196.9[.]76 185.212.47[.]75 185.219.220[.]99 185.219.221[.]30 185.62.58[.]107 185.66.140[.]112 192.46.237[.]163 193.168.143[.]111 193.168.143[.]116 193.168.143[.]184 193.168.143[.]185 193.233.161[.]137 193.233.161[.]163 193.29.104[.]13 193.29.104[.]5 193.29.104[.]83 193.29.59[.]171 193.42.36[.]106 193.42.36[.]84 212.237.217[.]127 213.252.246[.]152 |
프레데터 전송 서버
| 도메인 | IP 주소 | 처음 발견 | 마지막으로 발견 |
| 06g[.]co | 185.130.227[.]29 | 2023-12-22 | 2024-02-21 |
| 02s[.]co | 185.130.227[.]95 | 2023-12-22 | 2024-02-21 |
| 스페이스세이버[.]정보 | 45.148.244[.]5 | 2023-11-30 | 2024-02-20 |
| 09a[.]co | 5.39.221[.]36 | 2023-12-22 | 2024-02-21 |
| ongsworld[.]com | 146.70.158[.]144 | 2023-11-16 | 2024-02-21 |
| fr-monde[.]com | 169.239.129[.]76 | 2023-12-15 | 2024-02-20 |
| 루소포니아-문도[.]닷컴 | 169.239.129[.]63 | 2023-12-15 | 2024-02-17 |
| ladiesclubhouse[.]com | 169.239.129[.]48 | 2023-12-15 | 2024-02-18 |
| vinho-online[.]com | 169.239.128[.]137 | 2023-12-15 | 2024-02-17 |
| vendaswebs[.]com | 185.158.248[.]131 | 2023-11-16 | 2024-02-17 |
| 문도노티시아[.]온라인 | 185.196.9[.]76 | 2023-11-16 | 2024-02-17 |
| mujmbosnoticias[.]com | 185.212.47[.]75 | 2023-11-02 | 2024-02-21 |
| soccer-bw[.]com | 185.130.46[.]165 | 2023-11-22 | 2024-02-17 |
| mmegi[.]co | 45.129.0[.]125 | 2023-11-22 | 2024-02-16 |
| bw-guardian[.]com | 95.141.34[.]222 | 2023-11-19 | 2024-02-17 |
| yo-um7[.]com | 185.130.46[.]202 | 2023-11-29 | 2024-02-17 |
| sustanbuild[.]com | 193.29.104[.]5 | 2023-11-25 | 2024-02-17 |
| myfawry[.]net | 2.58.15[.]58 | 2023-12-14 | 2024-02-20 |
| jumia-egy[.]com | 79.110.52[.]196 | 2023-12-14 | 2024-02-17 |
| suarapapua[.]co | 158.58.172[.]3 | 2023-12-01 | 2024-01-29 |
| 케조라뉴스[.]넷 | 185.158.248[.]85 | 2023-12-07 | 2024-02-15 |
| nospam[.]kz | 176.124.198[.]52 | 2023-12-28 | 2024-02-13 |
| olimpbets[.]kz | 176.124.198[.]55 | 2023-12-28 | 2024-02-13 |
| vlast-news[.]com | 185.156.172[.]20 | 2023-12-08 | 2024-02-16 |
| ztb-news[.]com | 185.156.172[.]17 | 2023-12-08 | 2024-02-17 |
| cabinet-salyk[.]kz | 185.156.172[.]48 | 2023-12-15 | 2024-02-21 |
| zikolo[.]net | 193.168.143[.]116 | 2023-11-11 | 2024-02-14 |
| magnum-kz[.]com | 45.86.163[.]93 | 2023-12-08 | 2024-02-20 |
| tickets-kz[.]com | 45.86.163[.]77 | 2023-12-10 | 2024-02-17 |
| people-beeline[.]com | 5.39.221[.]47 | 2023-12-14 | 2024-02-17 |
| 로자베트로프[.]닷컴 | 5.39.221[.]48 | 2023-12-14 | 2024-02-17 |
| 2-gis[.]kz | 79.137.199[.]216 | 2023-12-28 | 2024-02-20 |
| e-kgd[.]kz | 85.17.9[.]21 | 2023-12-15 | 2024-02-17 |
| kapital-news[.]com | 85.17.9[.]73 | 2023-12-14 | 2024-02-19 |
| nur-news[.]com | 85.17.9[.]74 | 2023-12-14 | 2024-02-21 |
| astanapark[.]com | 87.121.45[.]42 | 2023-12-11 | 2024-02-16 |
| krisha-kz[.]com | 88.119.161[.]135 | 2023-11-26 | 2024-02-17 |
| ehudaldaa[.]com | 84.247.51[.]14 | 2023-12-23 | 2024-02-20 |
| ulstur[.]co | 84.247.51[.]18 | 2023-12-25 | 2024-02-20 |
| mb-ph[.]net | 193.42.36[.]106 | 2023-12-07 | 2024-02-21 |
| buildneeds[.]net | 141.94.122[.]19 | 2023-11-21 | 2024-02-17 |
| 스포츠나우[.]뉴스 | 185.113.8[.]67 | 2023-11-11 | 2024-02-19 |
| 기업 비즈니스 솔루션[.]net | 193.168.143[.]184 | 2023-11-25 | 2024-02-09 |
| 정보 순위[.]net | 193.168.143[.]185 | 2023-11-25 | 2024-02-17 |
| centent-management[.]net | 193.29.59[.]171 | 2023-11-21 | 2024-02-09 |
| highclub[.]life | 46.249.49[.]230 | 2023-11-11 | 2024-02-21 |
| vestinfos[.]net | 185.130.45[.]34 | 2023-12-22 | 2024-02-09 |
| get-location[.]net | 46.246.97[.]245 | 2023-12-21 | 2024-02-08 |
| vestinfo[.]org | 79.141.175[.]146 | 2023-12-22 | 2023-12-22 |
| 이벤트 뉴스[.]라이브 | 185.219.221[.]30 | 2023-12-04 | 2024-02-08 |
| get-location[.]com | 192.46.237[.]163 | 2023-12-04 | 2024-02-20 |
| vestinfo[.]net | 87.121.45[.]29 | 2023-12-04 | 2024-02-17 |
| thintank[.]co | 5.255.88[.]172 | 2023-10-25 | 2024-01-20 |
| fastnews[.]biz | 101.99.75[.]197 | 2023-11-17 | 2024-02-18 |
| plinkypong[.]com | 146.70.161[.]50 | 2023-11-29 | 2024-02-17 |
| peticaonline[.]com | 164.215.103[.]143 | 2023-11-27 | 2024-02-17 |
| escortbabesluxo[.]com | 164.215.103[.]20 | 2023-11-03 | 2024-02-13 |
| coazoa[.]com | 169.255.59[.]98 | 2023-11-01 | 2024-02-19 |
| 주말쿨[.]com | 185.113.8[.]83 | 2023-11-18 | 2024-02-14 |
| qazsporttv[.]com | 185.117.91[.]237 | 2023-12-14 | 2024-02-17 |
| pelovkin[.]com | 185.117.91[.]165 | 2023-11-29 | 2024-02-14 |
| 플라스틱 장난감 세계[.]com | 185.130.227[.]88 | 2023-11-28 | 2024-02-17 |
| tohna[.]net | 185.219.220[.]99 | 2023-11-02 | 2024-02-10 |
| notify-service[.]biz | 185.62.58[.]107 | 2023-11-16 | 2024-02-01 |
| copy-note[.]net | 185.66.140[.]112 | 2023-11-29 | 2024-01-31 |
| zakorn[.]com | 193.168.143[.]111 | 2023-11-10 | 2024-02-17 |
| walatparez[.]com | 193.233.161[.]137 | 2023-12-09 | 2024-02-17 |
| tobupmi[.]com | 193.233.161[.]163 | 2023-11-14 | 2024-02-16 |
| gabzmus[.]com | 193.29.104[.]13 | 2023-11-14 | 2024-02-17 |
| msbsck[.]com | 193.29.104[.]83 | 2023-11-16 | 2024-02-17 |
| 마스터샵[.]비즈 | 193.42.36[.]84 | 2023-11-17 | 2024-02-11 |
| kollesa[.]com | 212.237.217[.]127 | 2023-11-10 | 2024-02-17 |
| schedulefestival[.]com | 213.252.246[.]152 | 2023-11-16 | 2024-02-18 |
| post-notify[.]정보 | 23.137.248[.]95 | 2023-11-17 | 2024-02-17 |
| dzhabarzan[.]com | 37.120.222[.]115 | 2023-12-08 | 2024-02-21 |
| shoxtek[.]com | 46.30.190[.]98 | 2023-11-23 | 2024-02-12 |
| fast-notify[.]com | 79.110.52[.]179 | 2023-12-09 | 2024-02-19 |
| clazc[.]com | 85.239.34[.]174 | 2023-11-24 | 2024-02-17 |
| beroxe[.]com | 87.121.45[.]45 | 2023-12-09 | 2024-02-21 |
| kroal[.]com | 91.241.93[.]165 | 2023-12-08 | 2024-02-19 |
| rcuples[.]com | 98.142.254[.]112 | 2023-11-28 | 2024-02-02 |
MITRE ATT&CK TTPs
| 전술: 기법 | ATT&CK 코드 |
| 자원 개발: 인프라 확보 도메인 | T1583.001 |
| 자원 개발: 인프라 확보: 가상 사설 서버 | T1583.003 |
| 자원 개발: 인프라 획득: 서버 | T1583.004 |
| 초기 액세스: 스피어피싱 링크 | T1566.002 |
| 실행: 클라이언트 실행을 위한 익스플로잇 | T1203 |
관련